個人信息安全的分級分類保護再探究

摘 ?要：本文以個人信息泄露后對個人造成危害的重要程度和根據已有信息能否快速確定某個人的特征為依據，將個人信息分成三類：網絡行為信息、個人屬性信息、個人重要信息。對應的安全保護級別為：一般保護、基本保護、重點保護。對其分別采取相應的安全保護技術手段：日常防護措施、安全管理中心體制下的匿名保護技術、水印隱藏與溯源相結合的技術。加大監管網絡平臺環境的力度，增強個人信息安全管理的保障。

關鍵詞：個人信息;網絡行為信息;匿名保護;水印隱藏與溯源

中圖分類號：TP309 ? ? 文獻標識碼：A 文章編號：2096-4706（2019）18-0121-03

Abstract：This paper divides personal information into three categories：network behavior information，personal attribute information and personal important information，based on the importance of personal information harmful to individuals and whether the existing information can quickly determine the characteristics of a person. The corresponding level of security protection：general protection，basic protection and key protection. Corresponding security protection technology means are adopted：daily protection measures，anonymous protection technology under the security management center system，and the combination of watermarking hiding and traceability technology. Strengthen the supervision of the network platform environment and enhance the protection of personal information security management.

Keywords：personal information;network behavior information;anonymous protection;watermarking hiding and traceability

0 ?引 ?言

隨著移動互聯網的飛速發展以及移動應用程序的迅速推廣，違法違規收集、過度使用或濫用個人信息的現象屢見不鮮，給公民個人和社會造成嚴重影響，危害公共安全。2018年我國就發生了多起關于個人隱私數據的熱點事件，例如支付寶年度賬單默認勾選、手機攝像頭自動彈出、Wi-Fi萬能鑰匙“竊取隱私”、酒店用戶信息泄露等等，這些事件的爆發，都將個人信息安全問題推向輿論焦點。2019年，3·15晚會曝光了智能騷擾電話及APP肆意收集用戶隱私信息的現象，這些事件的再次曝光引起了中央政府的高度重視，工信部啟用聯合處理機制，要求相關部門針對APP違法違規收集、使用個人信息進行專項治理，進一步加強監督，全力組織個人信息保護立法工作，以便收集、使用個人信息時有章可循、有法可依，切實規范對用戶個人信息的收集、使用行為。除政府加大對公民隱私數據保護外，公民對于自身隱私數據的保護意識也已經覺醒，對于個人信息的敏感程度達到前所未有的高度。如何落實國家相關網絡安全法規的規定，防止用戶隱私數據泄露或濫用，打消用戶對自身安全的重重顧慮，實現個人信息的安全共享和交換，是當代社會亟需解決的問題，也是當代社會研究的熱門課題。

1 ?個人信息的定義

狹義的個人信息[1]，是指個人的一些具體信息，如姓名、家庭住址、身份證號、手機號及工作單位等，通過這些信息可以直接定位到某個具體個人;而廣義的個人信息比較抽象，概括地說，凡是與個人有關的一切數據、行為，以及隸屬于個人的所有描述都屬于個人信息。隨著互聯網技術的快速發展，個人信息以網絡為載體，以數據流的形式傳輸，一般具有識別度高、個性化強的特點。

《中華人民共和國網絡安全法》及其相關法律法規明確指出，以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等等，能夠單獨識別或結合識別特定自然人活動（如消費、上網、出行等）情況的各種信息也包含在個人信息范圍內。如表1所示，個人信息具體包括：個人具體信息、社會身份信息、標識信息、健康狀況信息、財產信息、教育背景、上網行為等[2，3]。

不管是上述的哪一種信息，都具有“可識別性”，該屬性是判斷信息是否屬于特定個人的重要依據，“可識別性”的強弱可通過關聯信息的多少進行分析。極易識別特定個人、無需關聯其他信息，則可識別性就高;不易識別特定個人，需要大量關聯信息，則可識別性就低。

社會身份信息、健康狀況信息、財產信息等信息還屬于個人隱私信息，具有敏感性的屬性。敏感性的強弱可以通過個人信息泄露對個人利益造成的損害程度進行判定。信息泄露對個人利益造成嚴重損害，則敏感性就強;信息泄露對個人利益造成輕微損害，則敏感性就弱。

在文獻[4]中，將個人信息根據其對個人自身的重要程度由低到高分為四個等級，分級的依據較為片面，且采取的管理方法過于單一，文中對個人信息的分級思想值得借鑒，但具體分級分層管理方法尚需進一步改進。

2 ?個人信息的分級、保護級別的分類及各級別的保護技術

本文以個人信息泄露后對個人造成危害的重要程度和根據已有信息能否快速確定某個人的特征為依據，將個人信息分成三類：網絡行為信息、個人屬性信息、個人重要信息。對應的安全保護級別為：一般保護、基本保護、重點保護。對其分別采取相應的安全保護技術手段：日常防護措施、匿名保護技術、水印隱藏與溯源相結合的技術。

第一等級的網絡行為信息包含兩部分：一部分是自愿公開的信息，如QQ空間、微信朋友圈等，這些信息采用一般的日常防護措施。信息主體應當具備一定的自我保護意識，自己控制哪些信息對外發布及對哪些人發布，調整QQ空間、微信朋友圈分享、轉載功能，并設置訪問權限，掌握保護個人信息安全的主動控制權。另一部分是隱形產生且不可避免的網絡行為信息[5]，如瀏覽網頁、網上購物、在線聊天等等活動留下的行為記錄。這一部分信息關聯性比較強，通過這些網絡行為信息可以深層次挖掘更有價值的信息。比如根據網上購物記錄信息可以了解信息所有者的愛好傾向、評估其消費水平、推斷其交際范圍，進而采取具體的廣告推銷或電話推銷手段。為了確保個人信息安全，避免或盡可能少地無意在網上留下行蹤痕跡信息，用戶在打開網絡之前應確保網絡環境的安全，確定網絡設備沒有感染木馬病毒或惡意程序。在瀏覽網頁、網上購物、網上聊天之前先把安全系數設置好：打開“設置”工具欄→“選項”→“安全設置”→“隱私安全設置”→“清理上網痕跡設置”，以便在結束這些網絡行為時，網絡設備能及時、自動清除這些記錄。

第二等級的基本信息保護采用在安全管理中心體制下的匿名保護技術。

因為這一等級的信息主要是個人的基本信息數據，并且這些信息數據的可識別性程度非常高。在信息大爆炸時代，個人信息無時不有，無處不在。任何人都能輕易獲取這些個人信息，并且通過這些信息可以得到更多更重要的關聯信息，給個人信息造成極大的安全隱患。因此，第二等級信息由可信的安全管理中心統一管理。信息使用者要運用個人信息時必須先向安全管理中心發出請求，安全管理中心審計其請求的同時也以某種形式通知信息主體，告知其信息在被運用。個人信息的采集是只能由可信的安全管理中心來進行的，它負責個人信息在數據層的安全存儲，采用加密和訪問控制雙重機制管理個人信息，防止入侵者竊取或篡改重要信息，檢測信息數據的完整性。根據信息使用者的用途，審計用戶行為、判定其使用權限、匿名化處理相應的信息再傳輸給符合安全保護要求的用戶使用。所謂匿名保護技術，就是個人信息數據在傳輸前進行匿名處理，在傳輸過程中加入特定的隨機系數，使得接收者對收到的數據無法做關聯推斷，形成高級別的信息保護。匿名技術可以對個人信息標識和屬性匿名，還可以對個人信息之間的關系數據進行匿名處理或對個人信息數據之間的關聯進行隱藏，產生可用的匿名數據集。

第三等級的重點信息保護采用水印隱藏和溯源技術相結合的方法。

水印隱藏技術就是將個人的重要信息通過一定的載體（如文檔、圖像、聲音、視頻等）進行隱藏、嵌入到信息載體中的技術。在實際操作過程中，水印技術根據載體的特點，選擇相應的算法將重要信息隱藏嵌入到載體中，生成水印。水印隱藏技術能有效保護信息的安全性。

個人信息的采集、挖掘與計算過程具有痕跡的可追溯性，溯源技術可以對信息的來源進行確定。信息溯源記錄了信息流從產生到輸出的完整過程，溯源信息中包含了信息的發布者、發布的時間、地點、方式及發布的原因等內容。溯源信息與原始數據信息之間具有某種程度的關聯關系，根據溯源信息可以定位信息主體的特征，同時信息主體特征也帶有溯源信息。

在個人信息安全保護過程中，根據這一等級信息數據利用的流程和涉及到的發布者、收集者、應用者和監督者等主體特征，采用數據溯源技術，可以實現信息數據的追蹤、可靠性的評估和使用過程的重現。個人信息分級、分類保護級別及相應的保護技術如表2所示。

3 ?個人信息安全的保障

信息時代個人信息的保護，不僅要通過技術手段來提升其保密度，讓信息傳輸、存儲更私密化、安全化，還需改善網絡平臺環境[4]，增強平臺環境的安全系數。網絡平臺信息管理系統的安全關系到注冊用戶個人信息的安全。幾乎每個用戶進入任意網絡平臺，都要先注冊個人信息才能進行相關的訪問，繼而進行相關的活動。這樣，網絡平臺就隱形收集了用戶的大量個人信息，其中包括用戶的個人身份信息、詳細的住址信息、具體購物信息、支付賬號及密碼等。如果網絡平臺內部管理人員抵不住各種誘惑，利用職務上的便利非法竊取用戶信息，進行倒賣或詐騙，這樣會給用戶造成巨大的經濟損失和精神傷害。為防止及杜絕這類事情的發生，網絡平臺用戶信息管理系統必須進行不定時的維護和更新，且要加大監管力度，還要努力研發新型用戶信息管理系統，盡量把用戶的個人信息隱藏在系統后臺，實行分層管理。由專人負責管理、維護、更新，盡量避免平臺內部不法分子泄露、竊取用戶的個人信息。另外，還要主動使用防火墻技術和病毒查殺技術，提升網絡平臺用戶信息管理系統的防御能力，抵御木馬病毒或惡意程序的攻擊，為用戶個人信息數據增添一道安全防護。

4 ?結 ?論

個人信息包含的內容多、涉及面廣，加上網絡技術的快速發展與個人信息設備的普及，個人信息交換的頻率與共享的規模達到了前所未有的高度。如何安全使用和管理個人信息是人們關注的焦點。如何權衡個人信息的合理使用與安全管理將是一項復雜的系統工程。這也是后續要進一步探究的問題。

參考文獻：

[1] 高朝勤.信息系統等級保護中的多級安全技術研究 [D].北京：北京工業大學，2012.

[2] 高磊，李晨旸，趙章界.大數據應用中的個人信息分級保護研究 [J].信息安全研究，2019，5（5）：394-399.

[3] 趙文，水銘偉.大數據背景下個人信息安全保護措施研究 [J].電腦編程技巧與維護，2018（7）：86-87+93.

[4] 商曉陽.個人信息分級分層管理技術方法的探究 [J].信息與電腦（理論版），2018（14）：206-208.

[5] 馬紅麗.App違規收集個人信息有望得到治理 [J].中國信息界，2019（2）：30-33.

作者簡介：商曉陽（1985.09-），女，漢族，湖北黃岡人，講師，碩士研究生，研究方向：應用數學與信息安全。